使用伪造的 URL 设置 Referer 头

将可能干扰 CSRF 攻击的 HTTP 头除去,并使用伪造的 URL 设置 Referer 头进行访问,所以需要验证 Referer 头

这种方式只能起到简单发防护, Referer 头是可以伪造的,更推荐使用csrf-token表单方式进行防护

if (isset($_SERVER['HTTP_REFERER']) && strpos($_SERVER['HTTP_REFERER'], $_SERVER['SERVER_NAME']) === false) {
exit('不允许的请求');
}

You may also like...